Sujet Précédent Sujet Suivant

Trojans

Flash_n79 -  
Le sioux Messages postés 4907 Statut Contributeur sécurité -
Bonjour,
Je suis infecté par 2 trojans que mes antivirus n'arrivent pas à effacer.
Hijack me donne le rapport suivant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:58:50, on 04/06/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.asxoenshdo.org/62PdI19bZo_6c_pdbBuMh06mwDhQpG7hxfqjpf6G1NA.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RegFreeze.lnk.disabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted IP range: http://10.228.244.5
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/default.cab?uid=9&id=34574&1s
O18 - Filter hijack: text/html - {DE2DBDA8-43FA-484D-89E4-1686D5DC60F1} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00FCC64.dat
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - C:\Program Files\WindowsUpdate\rterele.html

8 réponses

Réponse 1 / 8
FX
 
Dans ces cas la je te conseil d'utiliser un anti trojan qui lui te les supprimera
0
Réponse 2 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour Falsh

Je suis infecté par 2 trojans que mes antivirus n'arrivent pas à effacer.

Je m'attendais en lisant ce message a voir plusieurs antivirus sur ton PC ce qui n'est pas bon, risque de conflits ++, mais , en faite, tu n'as aucun antivirus !!!

Il reste des traces d'un vieux Norton mal désinstallé, c'est tout...

* Quels outils t ont signalé cela ?

Sinon, en effet, tu es dans le vari : ton PC est bien infecté ;)

Télécharge Combofix.exe de sUBs sur ton Bureau,

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. /!\

Double clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\ Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\Combofix.txt

@ suivre
0
Réponse 3 / 8
Flash_n79
 
Salut Le sioux,
d'abord merci de m'aider, sinon voici le rapport combofix suivi de Hijack:

ComboFix 08-06-03.1 - CAMILLE 2008-06-04 14:27:41.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.100 [GMT 2:00]
Endroit: C:\Documents and Settings\CAMILLE\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\CAMILLE\Application Data\MCROSO~1.NET
C:\Documents and Settings\CAMILLE\Application Data\WinTouch
C:\Documents and Settings\CAMILLE\Application Data\WinTouch\wintouch.cfg
C:\Documents and Settings\CAMILLE\Application Data\YMBOLS~1
C:\Documents and Settings\CAMILLE\Application Data\YMBOLS~1\?ymbols\
C:\Documents and Settings\CAMILLE\Favoris\Online Security Guide.lnk
C:\Documents and Settings\CAMILLE\Menu Démarrer\Programmes\Outerinfo
C:\Documents and Settings\CAMILLE\Menu Démarrer\Programmes\Outerinfo\Terms.lnk
C:\Documents and Settings\CAMILLE\Menu Démarrer\Programmes\Outerinfo\Uninstall.lnk
C:\Program Files\outerinfo
C:\Program Files\outerinfo\FF\chrome.manifest
C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
C:\Program Files\outerinfo\FF\install.rdf
C:\Program Files\outerinfo\Terms.rtf
C:\Program Files\outlook
C:\Program Files\PlayMP3z
C:\Program Files\PlayMP3z\uninstall.exe
C:\Program Files\WindowsUpdate\rterele.html
C:\WINDOWS\cookies.ini
C:\WINDOWS\Fonts\'
C:\WINDOWS\system32\ahsotstc.ini
C:\WINDOWS\system32\CbcLmnpo.ini
C:\WINDOWS\system32\CbcLmnpo.ini2
C:\WINDOWS\system32\dgjlm.ini
C:\WINDOWS\system32\dgjlm.ini2
C:\WINDOWS\system32\fuobdtlr.dllbox
C:\WINDOWS\system32\hgGaApOF.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\opnmLcbC.dll
C:\WINDOWS\system32\rightonadz-uninst.exe
C:\WINDOWS\system32\wtssvcc32.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-04 to 2008-06-04 ))))))))))))))))))))))))))))))))))))
.

2008-06-04 08:58 . 2008-06-04 08:58 <REP> d-------- C:\Program Files\Trend Micro
2008-06-03 23:19 . 2008-06-03 23:19 35,842 --a------ C:\WINDOWS\system32\OqE8ClDL.exe
2008-06-03 22:46 . 2008-06-03 23:15 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-06-02 20:17 . 2008-06-02 20:17 <REP> d-------- C:\Documents and Settings\NetworkService\Application Data\Yahoo!
2008-06-02 11:17 . 2008-06-02 11:17 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\Yahoo!
2008-06-02 09:00 . 2008-06-02 09:00 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\Yahoo!
2008-06-01 21:51 . 2008-06-01 21:51 <REP> d-------- C:\Documents and Settings\CAMILLE\Application Data\Yahoo!
2008-06-01 21:51 . 2008-06-03 19:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-14 16:17 . 2008-05-14 16:17 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-05-07 22:38 . 2008-06-03 21:18 35,842 --a------ C:\WINDOWS\system32\[u]0[/u]MBq1Xbd.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 21:03 --------- d-----w C:\Program Files\MouseStick
2008-06-01 19:51 --------- d-----w C:\Program Files\Yahoo!
2008-05-01 09:11 --------- d-----w C:\Program Files\The Cleaner Free
2008-05-01 09:11 --------- d-----w C:\Program Files\IKEA HomePlanner
2007-10-29 17:05 25,720 ----a-w C:\Documents and Settings\CAMILLE\Application Data\GDIPFONTCACHEV1.DAT
2004-10-31 22:31 43 ----a-w C:\Documents and Settings\CAMILLE\Application Data\tvmcwrd.dll
2004-10-31 22:19 226,266 ----a-w C:\Documents and Settings\CAMILLE\Application Data\tvmknwrd.dll
2003-12-22 09:35 1,213,604 ----a-w C:\Documents and Settings\CAMILLE\2004.exe
2007-11-22 21:38 10,646 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e\ip6fw.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8CE9A157-DC2C-4513-B7D3-66A44A34172B}]
2001-08-28 14:00 91392 --a------ C:\WINDOWS\System32\cfgmgr3.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A638FE26-8C86-468D-909A-B13A6D827C41}]
C:\WINDOWS\System32\mljgd.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-05-12 00:34 6729728]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fuobdtlr]
fuobdtlr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"aux1"= SMNT40.dll
"wave1"= SMNT40.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\46YLTZK56334@F]
C:\WINDOWS\System32\Jel387h.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\59caaaf834d6]
C:\WINDOWS\System32\apcups58.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative WebCam Tray]
--a------ 2003-06-26 03:02 184320 C:\Program Files\Creative\Shared Files\CAMTRAY.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\e60b30b55991]
C:\WINDOWS\System32\BROWSEUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GSICONEXE]
--a------ 2002-01-28 17:02 90112 C:\WINDOWS\system32\gsicon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hkdkfwj]
C:\WINDOWS\hkdkfwj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\logcreativeflawokay]
C:\Documents and Settings\All Users\Application Data\Hope More Log Creative\Tickford.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RCgpLK.exe]
C:\documents and settings\camille\local settings\temp\RCgpLK.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysUpd]
C:\WINDOWS\sysupd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UxSo3pbmJ.exe]
C:\documents and settings\camille\local settings\temp\UxSo3pbmJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Survey Companion]
C:\Program Files\webHancer\Programs\whSurvey.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MessengerPlus3"="C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"sp"=rundll32 C:\DOCUME~1\CAMILLE\LOCALS~1\Temp\se.dll,DllInstall
"TrojanScanner"=C:\Program Files\Trojan Remover\Trjscan.exe
"MessengerPlus3"="C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"Smapp"=C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
"Windows"=C:\WINDOWS\System32\windows\services.exe
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" -lang 1033
"accwin"=C:\WINDOWS\addins\accwin.exe
"QQvGO"=C:\WINDOWS\aykajpv.exe
"tefar"=C:\WINDOWS\tefar.exe
"Media Access"=C:\Program Files\Media Access\MediaAccK.exe
"Preview AdService"=C:\Program Files\Preview AdService\PrevAdServ.exe
"Symantec NetDriver Monitor"=C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
"NeroCheck"=C:\WINDOWS\System32\NeroCheck.exe
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

R0 epinbgrw;epinbgrw;C:\WINDOWS\System32\drivers\myvvlwaa.dat []
R2 devdpl;devdpl;C:\WINDOWS\System32\DRIVERS\devdpl.sys [2002-10-13 20:26]
R2 litdpl;litdpl;C:\WINDOWS\System32\DRIVERS\litdpl.sys [2002-10-13 20:17]
S2 gafwload;ECI Telecom USB ADSL Loader;C:\WINDOWS\System32\DRIVERS\gafwload.sys [2002-01-28 17:01]
S3 AIDA32Driver;AIDA32Driver;C:\DOCUME~1\CAMILLE\LOCALS~1\Temp\Rar$EX02.156\aida32.sys []
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2005-11-24 15:42]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\System32\DRIVERS\fbxusb.sys [2003-12-31 12:35]
S3 hpoid407;IEEE-1284.4 Driver hpoid407;C:\WINDOWS\System32\DRIVERS\hpoid407.sys [2001-07-12 04:35]
S3 hpoius07;USB to IEEE-1284.4 Translation Driver hpoius07;C:\WINDOWS\System32\DRIVERS\hpoius07.sys [2001-07-12 04:33]
S3 oflpydin;oflpydin;C:\DOCUME~1\CAMILLE\LOCALS~1\Temp\oflpydin.sys []
S3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\System32\DRIVERS\P1130Vid.sys [2003-05-08 03:00]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-04 08:00:00 C:\WINDOWS\Tasks\AA8873109183E75C.job"
- c:\progra~1\transa~1\axis site software.exe
"2008-06-04 08:00:00 C:\WINDOWS\Tasks\AB4004DA9183BA4E.job"
- c:\docume~1\camille\applic~1\transa~1\axis site software.exe
"2008-06-02 19:32:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-09 22:00:01 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-04 12:21:14 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-04 08:00:10 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 09:00:02 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 10:00:01 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 11:00:02 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 12:00:02 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 13:00:02 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 14:00:02 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 15:00:02 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 16:00:02 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-09 23:00:01 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 17:00:04 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 18:00:02 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 19:00:03 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 20:00:07 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 21:00:12 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-09 22:50:05 C:\WINDOWS\Tasks\At25.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-09 23:00:05 C:\WINDOWS\Tasks\At26.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 00:00:05 C:\WINDOWS\Tasks\At27.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 01:00:05 C:\WINDOWS\Tasks\At28.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 02:00:05 C:\WINDOWS\Tasks\At29.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 00:00:01 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-10 03:00:05 C:\WINDOWS\Tasks\At30.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 04:00:05 C:\WINDOWS\Tasks\At31.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 05:00:05 C:\WINDOWS\Tasks\At32.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-29 06:22:29 C:\WINDOWS\Tasks\At33.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-04 07:00:11 C:\WINDOWS\Tasks\At34.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-04 08:00:10 C:\WINDOWS\Tasks\At35.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 09:00:05 C:\WINDOWS\Tasks\At36.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 10:00:05 C:\WINDOWS\Tasks\At37.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 11:00:05 C:\WINDOWS\Tasks\At38.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 12:00:10 C:\WINDOWS\Tasks\At39.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 01:00:01 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-06-03 13:00:10 C:\WINDOWS\Tasks\At40.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 14:00:10 C:\WINDOWS\Tasks\At41.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 15:00:10 C:\WINDOWS\Tasks\At42.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 16:00:10 C:\WINDOWS\Tasks\At43.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 20:46:29 C:\WINDOWS\Tasks\At44.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 18:00:10 C:\WINDOWS\Tasks\At45.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 19:00:11 C:\WINDOWS\Tasks\At46.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-03 20:00:13 C:\WINDOWS\Tasks\At47.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-06-04 06:39:34 C:\WINDOWS\Tasks\At48.job"
- C:\WINDOWS\System32\[u]0[/u]MBq1Xbd.exe
"2008-05-10 02:00:02 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-10 03:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-10 04:00:01 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-10 05:00:02 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
"2008-05-29 06:00:01 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\System32\OqE8ClDL.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 14:33:12
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\epinbgrw]
"ImagePath"="system32\drivers\myvvlwaa.dat"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-04 14:36:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-04 12:36:33

Pre-Run: 43,056,492,544 octets libres
Post-Run: 43,173,453,824 octets libres

282 --- E O F --- 2007-11-22 21:30:56

HIJACK:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:43, on 04/06/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.asxoenshdo.org/62PdI19bZo_6c_pdbBuMh06mwDhQpG7hxfqjpf6G1NA.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8CE9A157-DC2C-4513-B7D3-66A44A34172B} - C:\WINDOWS\System32\cfgmgr3.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A638FE26-8C86-468D-909A-B13A6D827C41} - C:\WINDOWS\System32\mljgd.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RegFreeze.lnk.disabled
O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe (file missing)
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted IP range: http://10.228.244.5
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c9.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/default.cab?uid=9&id=34574&1s
O20 - Winlogon Notify: fuobdtlr - fuobdtlr.dll (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0
Réponse 4 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Flash

Je regarde tout cela en soirée et te tiens au courant.

@ +
0
Flash_n79
 
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re bonsoir flash

Ba, il reste du monde dans ton PC ...

Mais, tout d'abord, j'ai un doute sur plusieurs fichiers :

Rends toi sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\addins\<gras>accwin.exe

* Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Fais de même pour

C:\WINDOWS\System32\Jel387h.exe

C:\documents and settings\camille\local settings\temp\se.dll
et
C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41­fff1e2c80885381e\ip6fw.sys

et poste les 4 rapports en réponse stp.

Re-cache les fichiers et dossiers cachés par la suite pour éviter de faire des bétises ;)

@ +
0
Flash_n79
 
Bonjour,
Même en ayant afficher les dossiers cachés, je n'arrive pas à trouver les 3 premiers fichiers demandés.
Voici le rapport pour le fichier ip6fw.sys:
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159c2
timedatestamp.....: 0x41107b64 (Wed Aug 04 06:00:04 2004)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x41f0 0x4200 6.40 52a5b342d8ca33c3b7ff834dec70ff44
.rdata 0x4500 0x2d4 0x300 3.42 274f5394e9de53f478d2fd955c54c685
.data 0x4800 0x944 0x980 0.39 18a5a02194890ded98c09bed000178b4
PAGE 0x5180 0x17e 0x180 5.56 69f3fb6a3fe67d9c23dfbbe40a13ea53
INIT 0x5300 0xdda 0xe00 6.13 39bbe34f60ad1f2810966b4e05d1de50
.rsrc 0x6100 0xa30 0xa80 6.29 e318c0d1cc7d1e40ea5bb635fd4864db
.reloc 0x6b80 0x5dc 0x600 6.07 6abd820c93b9aa575526436e852c30bf

( 4 imports )
> ntoskrnl.exe: KeInitializeSpinLock, RtlCopyUnicodeString, ZwQueryValueKey, ZwClose, RtlInitUnicodeString, ZwOpenKey, ObReleaseObjectSecurity, ObSetSecurityObjectByPointer, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, RtlDeleteAce, RtlEqualSid, SeExports, RtlGetAce, RtlGetDaclSecurityDescriptor, ObGetObjectSecurity, KeInitializeEvent, KeSetEvent, KeWaitForSingleObject, IoDeleteDevice, IoDeleteSymbolicLink, IoCreateSymbolicLink, _except_handler3, KefReleaseSpinLockFromDpcLevel, RtlSplay, KefAcquireSpinLockAtDpcLevel, KeTickCount, IoWMIRegistrationControl, IoWMIWriteEvent, KeQuerySystemTime, KeInsertQueueDpc, ExAllocatePoolWithTagPriority, InterlockedPopEntrySList, InterlockedPushEntrySList, ExDeleteNPagedLookasideList, RtlDelete, KeInitializeDpc, ExInitializeNPagedLookasideList, KeCancelTimer, KeSetTimerEx, _alldiv, KeInitializeTimer, KeQueryTimeIncrement, KeBugCheckEx, ExGetPreviousMode, MmUserProbeAddress, ExRaiseAccessViolation, ExAllocatePoolWithTag, ExFreePoolWithTag, PsGetCurrentProcessId, IoCreateDevice, IofCompleteRequest
> HAL.dll: KfAcquireSpinLock, KfRaiseIrql, KfLowerIrql, KfReleaseSpinLock
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest
> tcpip6.sys: IPv6DisableFirewallHook, IPv6ObtainPacketData, IPv6GetBestRouteInfo, IPv6EnableFirewallHook

( 0 exports )
0
Réponse 6 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

Erreur de copier/coller pour le 1er fichier

c est C:\WINDOWS\addins\accwin.exe

Salut.
0
Réponse 7 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir Flash

Ba, cela ne m'aide pas beaucoup ...

ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

Driver :
oflpydin
epinbgrw

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8CE9A157-DC2C-4513-B7D3-66A44A34172B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A638FE26-8C86-468D-909A-B13A6D827C41}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fuobdtlr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\59caaaf834d6]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\e60b30b55991]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hkdkfwj]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\logcreativeflawokay]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RCgpLK.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysUpd]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UxSo3pbmJ.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\webHancer Survey Companion]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\46YLTZK56334@F]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"sp"=-
"Windows"=-
"accwin"=-
"QQvGO"=-
"tefar"=-
"Media Access"=-
"Preview AdService"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\epinbgrw]

Folder::
C:\Program Files\Media Access
C:\Program Files\Preview AdService
C:\Program Files\webHancer
C:\Documents and Settings\All Users\Application Data\Hope More Log Creative
C:\Program Files\transa~1
C:\documents and settings\camille\applic~1\transa~1
C:\Program Files\Adverts

File::
C:\documents and settings\camille\local settings\temp\se.dll,DllInstall
C:\WINDOWS\addins\accwin.exe
C:\WINDOWS\System32\Jel387h.exe
C:\WINDOWS\system32\OqE8ClDL.exe
C:\WINDOWS\system32\[u]0/uMBq1Xbd.exe
C:\WINDOWS\system32\uMBq1Xbd.exe
C:\Documents and Settings\CAMILLE\Application Data\tvmcwrd.dll
C:\Documents and Settings\CAMILLE\Application Data\tvmknwrd.dll
C:\Documents and Settings\CAMILLE\2004.exe
C:\WINDOWS\System32\cfgmgr3.dll
C:\WINDOWS\System32\mljgd.dll
C:\WINDOWS\System32\apcups58.exe
C:\WINDOWS\System32\BROWSEUI.exe
C:\WINDOWS\hkdkfwj.exe
C:\WINDOWS\sysupd.exe
C:\WINDOWS\aykajpv.exe
C:\WINDOWS\tefar.exe
C:\WINDOWS\System32\windows\services.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Preview AdService\PrevAdServ.exe
C:\documents and settings\camille\local settings\temp\RCgpLK.exe
C:\documents and settings\camille\local settings\temp\UxSo3pbmJ.exe
C:\documents and settings\camille\local settings\temp\oflpydin.sys
C:\system32\drivers\myvvlwaa.dat
C:\Program Files\transa~1\axis site software.exe
C:\documents and settings\camille\applic~1\transa~1\axis site software.exe
C:\Documents and Settings\All Users\Application Data\Hope More Log Creative\Tickford.exe
C:\WINDOWS\Tasks\AA8873109183E75C.job
C:\WINDOWS\Tasks\AB4004DA9183BA4E.job
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript

/!\ Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. /!\

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre
0
Flash_n79
 
Merci pour tout le sioux mais j'ai formaté.
Ca m'a gavé.
Merci d'avoir cherché.
0
Réponse 8 / 8
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Hello

Oooo.... quel dommage, c'était un beau combat que l'on aurait gagné ...

Salut.
0

Discussions similaires

Trojans Sirefef.b et Sirefef.p
momarqc -
momarqc -

33 réponses
des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses
Worm WIN32, trojans SillyDL DIC,Rolepi GM
vinoth91 -
vinoth91 -

5 réponses